Arbeids- og administrasjonsdepartementet
Postboks 8004 Dep
0030
Deres ref. Deres brev Vår ref. Dato
200103129-7 21.05.2003 2003/00250 (FNH) 03.07.2003
200300104 (Sparebankforeningen)
Endring av forskrift til personopplysningsloven (personopplysningsforskriften) av 15. desember 2000 nr 1265
FNH og Sparebankforeningen viser til Arbeids- og administrasjonsdepartementets høringsbrev 21.05.2003 med forslag til endringer i personopplysningsforskriften.
Banker og forsikringsselskaper hadde i henhold til overgangsreglene i personopplysningsloven § 51 og personopplysningsforskriften §§ 10-3 og 10-4 en forholdsvis lang overgangstid før full ikrafttredelse av den nye personopplysningsloven med forskrift. Datatilsynets konsesjonsvilkår for banker etter forskriftens § 7-3 var først klare for et halvt år siden, mens forsikringsselskapenes konsesjoner etter § 7-2 ennå ikke er fastsatt. Vi har derfor hatt litt liten tid til å vinne særlige erfaringer med personopplysningsforskriften som sådan, men har gjennom det nevnte konsesjonsarbeidet på bankområdet kunnet konstatere at forskriftens §§ 7-2 og 7-3 bærer sterkt preg av at bestemmelsene ble vedtatt uten forutgående høring fra Justisdepartementets side (jf våre kommentarer nedenfor).
Vi noterer oss imidlertid at forskriften også vil få en full gjennomgang når personopplysningsloven blir gjennomgått i 2005.
Forslag til endring av kapittel 3 Internkontroll
Vi er generelt positive til den omlegging av kapittel 3 (Internkontroll) som nå foreslås. Det er en god målsetting å bringe personopplysningsforskriftens regler om internkontroll mest mulig – både innholdsmessig og systematisk – i samsvar med andre eksisterende regler og pålegg om internkontroll. For finansnæringens del kan vi blant annet vise til Kredittilsynets nylig vedtatte (21. mai 2003 – ennå ikke i kraft) forskrift om bruk av informasjonsteknologi og forskrift av 20. juni 1997 om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (”internkontrollforskriften”).
Vi går ut fra at dersom en finansinstitusjon finner det hensiktsmessig, er det i
forskriftsutkastet ingen ting som er til hinder for å utarbeide en felles dokumentasjon for internkontroll og kontrollprosedyrer som oppfyller både personopplysningsforskriften, internkontrollforskriften og IKT-forskriftens krav.
I forslaget til ny § 3-2 andre ledd fremgår det at behandlingsansvarlig på grunnlag av fastsatt mål og strategi skal utarbeide en beskrivelse av virksomhetens behandlinger av personopplysninger ”sammen med virksomhetens medarbeidere”. I departementets merknader er det uttalt at dette omfatter de medarbeidere i virksomheten som sitter på den direkte kunnskapen om bruken. Som et utgangspunkt virker dette som en hensiktsmessig avgrensning, men i større virksomheter så som banker og forsikringsselskaper hvor kanskje flere hundre medarbeidere har direkte kunnskap om bruken av personopplysninger, blir dette uhåndterlig. Etter vår mening er det nødvendig å begrense omfanget av medarbeidere til et representativt utvalg. Vi ber departementet gi nærmere føringer om dette i merknadene og vurdere en tilføyelse i andre ledd i forskriftsteksten, for eksempel slik: ” … eller et representativt utvalg av medarbeidere”.
I § 3-3 foreslås at det skal foretas en vurdering av personvernulempen ved den enkelte behandling. Hva som er ”personvernulempe” kan være nokså sammensatt og skjønnspreget, blant annet ut fra ståstedet til den som faktisk foretar vurderingen. Vi kunne derfor ønske at dette begrepet ble klargjort noe bedre, eventuelt at det blir gitt noen holdepunkter for hvilke momenter som bør trekkes inn i en slik vurdering.
Overskriften i § 3-4 er ”Dokumentasjon”, mens overskriften i § 3-7 er ”Tilgjengelig dokumentasjon”. Den førstnevnte bestemmelse sier noe om at visse typer hendelser skal dokumenteres mens den sistnevnte vel angir at man har en mer generell dokumentasjonsplikt for hele sitt internkontrollsystem. Bestemmelsen som pålegger virksomheten å dokumentere sine prosedyrer er derimot ”bortgjemt” i siste ledd i § 3-3 med overskriften ”Vurdering av personvernulempene og oppfølgende tiltak”. - Overskriften til § 3-4 bør heller fokusere på hendelsene som avdekker brudd på loven. I bestemmelsens annet ledd er vi noe usikre på hvilke føringer som skal legges til grunn for ”nødvendighetsvurderingen” med hensyn til oppbevaringstiden. Videre bør bestemmelsen i utkastets § 3-3 siste ledd få en mer sentral plass, for eksempel settes i en egen paragraf med egen overskrift, eventuelt gjøres litt mer generell og flyttes ned som første ledd i § 3-4.
For øvrig mener vi formuleringen; ”Hendelser som er egnet til å avdekke brudd …” i § 3-4 første ledd er uklar. Vi er i tvil om bestemmelsen stiller krav om dokumentasjon av hendelser som har skjedd (altså i ettertid) eller om dette er en bestemmelse om dokumentasjonsplikt for sårbarhet og risikoforhold i virksomheten i relasjon til personopplysningsloven. Forslaget bør etter vår mening klargjøres.
Bestemmelsene om konsesjonsplikt for forsikring og bank (forskriftens §§ 7-2 og 7-3)
Bestemmelsene om konsesjonsplikt for behandling av personopplysninger i forsikringsselskaper, banker og andre finansinstitusjoner (§§ 7-2 og 7-3) ble tatt inn i forskriften helt i sluttfasen uten at forslagene var gjenstand for ordinær høring. Bakgrunnen for bestemmelsen samt bestemmelsens innhold og utforming har således ikke vært gjennom en formell høringsrunde, noe kvaliteten på bestemmelsen også bærer preg av. Det har blant annet vært mye uklarhet om hvor langt konsesjonsplikten rekker.
Vi anser det unødvendig og prinsipielt uheldig at banker og forsikringsselskaper skal være avhengig av konsesjon fra Datatilsynet for å kunne levere tjenester og foreta behandlinger av kundeopplysninger som finansbedriftene har rett og plikt til å utføre i henhold til bank-, finans- og forsikringslovgivningen og vilkår fastsatt av Finansdepartementet/Kredittilsynet. Konsesjonsplikt på dette området er da også en særnorsk ordning!
For bankenes vedkommende ble konsesjonsplikten av Justisdepartementet begrunnet i at banker behandler en rekke sensitive personopplysninger, at mengden opplysninger er stor og at det er mye overskuddsinformasjon. Det er for det første ikke riktig at banker behandler en rekke sensitive personopplysninger, jf definisjonen i personopplysningsloven § 2 nr 8. Videre mener vi at dersom finansbedriftene har mye overskuddsinformasjon, er det vel bruken av denne informasjonen ut over det opprinnelige behandlingsformålet (levering av avtalte tjenester) som bør gjøres konsesjonsavhengig, og ikke behandling av personopplysninger som er nødvendig for den ordinære tjenesteleveransen.
Etter vår vurdering gir det foreliggende forslag til endringer ingen særlige avklaringer på de svakheter og uklarheter som ligger i dagens bestemmelser.
I utkastet til nye §§ 7-2 og 7-3 har vi for det første vanskelig med å forstå hva som egentlig ligger i begrepet ”kundeadministrasjon”. Hittil har begrepet stått først i en oppregning slik at man får inntrykk av at ”kundeadministrasjon” er første trinn i en behandlingsprosess og som etterfølges av en leveranse og tilhørende fakturering. I endringsutkastet står ordet ”kundeadministrasjon” alene og det gis deretter noen eksempler som i seg selv er ganske altomfattende. Dette kan gjøre at begrepet kundeadministrasjon forstås nærmest synonymt med all behandling av personopplysninger om kunder.
Vi kan videre ikke se at verken den foreslåtte ordlyden eller kommentarene i høringsnotatet klargjør spørsmålet om bank og forsikring må søke om en konsesjon for hvert ”behandlingsformål” eller om det er nok med en ”generalkonsesjon”. Dette spørsmålet har nå funnet sin avklaring gjennom Datatilsynets praksis med én konsesjon til hver bank, men det ville vært ønskelig med en klargjøring også i forskrifts form.
Tatt i betraktning vårt standpunkt om at Datatilsynet ikke bør være de facto konsesjonsgiver for bank- og forsikringsvirksomhet, forskriftsgivers begrunnelse for å pålegge bank og forsikring konsesjonsplikt samt de språklige innvendingene vi har redegjort for over, mener vi at en eventuell fortsatt konsesjonsordning på finansområdet bør begrenses. For banker og andre finansinstitusjoner som vi pr i dag har mest erfaring med gjennom de konsesjonsvilkår som Datatilsynet fastsatte for et halvt år siden, bør bestemmelsen i § 7-3 omformuleres slik at konsesjonsplikten omfatter behandling av kundeopplysninger ut over det som er nødvendig for å utføre ordinære bank- og finanstjenester. Erfaringen med Datatilsynets konsesjoner til bankene støtter dette: Fastsatte konsesjonsvilkår og tilhørende merknader befatter seg i all hovedsak med spørsmål om utlevering av kundeopplysninger til et felles konsernkunderegister og hvor langt bankene kan benytte opplysninger til markedsføring – et forhold som jo egentlig faller utenfor dagens virkeområde for konsesjonsplikt.
Vi foreslår på denne bakgrunn at bestemmelsen i § 7-3 gis følgende ordlyd:
§ 7-3. Konsesjonsplikt for bankers og finansinstitusjoners behandling av personopplysninger
Bankers og finansinstitusjoners (jf. lov av 24. mai 1985 nr. 28 om Norges Bank og pengevesenet (sentralbankloven), lov av 1. mars 1946 nr. 3 om Den Norske Stats Husbank, lov av 24. mai 1961 nr. 1 om sparebanker, lov av 24. mai 1961 nr. 2 om forretningsbanker, lov av 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner) behandling av personopplysninger ut over det som er nødvendig for å levere bank- og finanstjenester, er konsesjonspliktig etter personopplysningsloven. Eksempler på slike konsesjonspliktige behandlinger kan være anvendelse av kundeopplysninger til markedsføring av nye produkter/tjenester og utlevering av kundeopplysninger til samarbeidspartnere.
Vi har i denne omgang ikke utformet noe konkret forslag til ny § 7-2 om konsesjonsplikt for behandling av personopplysninger i forsikringsbransjen. Dette skyldes primært manglende erfaringsgrunnlag om de vilkår Datatilsynet vil komme til å fastsette i konsesjonene til forsikringsselskapene.
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Tore A. Hauglie Olav Breck
Avd direktør Avd direktør